On les accepte par habitude, on les refuse par agacement, mais on oublie souvent que derrière ces petites lignes de code se cachent les fondations de la confiance numérique… et le radar principal de la CNIL.
En 2026, la gestion des cookies n’est plus un détail technique . C’est un enjeu de conformité stratégique. Si votre site dépose des traceurs avant même que l’internaute n’ait cliqué sur « Accepter », vous jouez avec le feu.
1. Qu’est-ce qu’un cookie (au-delà du cliché du biscuit) ?
Un cookie est un petit fichier texte déposé sur le terminal (ordinateur, smartphone) de l’utilisateur lors de la visite d’un site. Sa mission ? Stocker des informations pour « reconnaître » l’utilisateur lors de sa navigation ou de sa prochaine visite.
Le menu des traceurs : les 4 catégories à connaître
Tous les cookies ne se valent pas aux yeux de la loi. Voici comment les trier :
- Les Cookies Techniques (Indispensables) : Ils sont nécessaires au fonctionnement du site (gestion du panier d’achat, session sécurisée, choix de la langue). Bonne nouvelle : ils ne nécessitent pas de consentement préalable mais vous pouvez cependant les informer de leur utilisation et leur rappeler que des réglages du navigateur peuvent leur permettre de les bloquer, avec des effets potentiellement négatifs pour le fonctionnement du site. Les traitements de données personnelles associés restent néanmoins soumis aux principes du RGPD.
- Les Cookies de Mesure d’Audience (Statistiques) : Ils servent à savoir combien de personnes visitent votre site. Attention : certains outils (comme Google Analytics mal configuré) nécessitent un consentement, tandis que d’autres (exemptés par la CNIL) peuvent s’en passer sous conditions strictes.
- Les Cookies Publicitaires (Marketing) : Les plus surveillés. Ils tracent le comportement pour afficher des publicités ciblées. Consentement obligatoire et explicite.
- Les Cookies de Réseaux Sociaux : Générés par les boutons de partage (Facebook, LinkedIn). Ils permettent aux plateformes de suivre la navigation de leurs membres.
2. Le rappel à l’ordre de la CNIL : Les sanctions récentes
En 2020 la CNIL expliquait et informait sur les cookies.
https://www.cnil.fr/fr/cookies-et-autres-traceurs/que-dit-la-loi
En 2026 la CNIL ne fait plus de « pédagogie préventive » sur les cookies : elle sanctionne. La règle d’or est désormais le parallélisme des formes : il doit être aussi facile de refuser que d’accepter.
Voici les derniers exemples qui ont marqué les esprits (et les portefeuilles) :
- American Express (2024-2025) : Une amende de 1,5 million d’euros notamment pour avoir déposé des cookies publicitaires sans consentement préalable.
- Condé Nast (750 000 €) : Sanctionné pour ne pas avoir permis de refuser les cookies aussi simplement que de les accepter. Un bouton « Tout accepter » sans bouton « Tout refuser » au même niveau est une faute grave.
- L’offensive sur le « Cookie Wall » : La CNIL surveille de près les sites qui bloquent l’accès au contenu si l’utilisateur refuse les cookies, exigeant une alternative réelle pour l’internaute.
3. Le conseil du DPO : Ne confiez pas votre conformité à un simple plugin
Beaucoup d’entreprises pensent être en règle en installant une « CMP » (Consent Management Platform) gratuite. C’est une erreur.
Une CMP mal configurée est un nid à sanctions :
- Le dépôt « pré-consentement » : Vérifiez-vous que les traceurs sont réellement bloqués avant le clic ?
- La preuve du consentement : Êtes-vous capable de prouver qu’un utilisateur a dit « oui » il y a 3 mois ?
- L’information claire : Votre liste de partenaires est-elle à jour ?
La conformité n’est pas un bouton ON/OFF, c’est une maintenance continue.